بدأ الباحثون في الكشف عن عمليات المراقبة العالمية التي تستهدف الصحفيين والعاملين في المجال الإنساني ومدنيين آخرين عبر تطبيقات المراسلة. في 31 يناير، اتصل تطبيق واتساب بأكثر من 90 فردًا يعتقد أنهم تعرضوا لبرمجيات تجسس طورتها شركة “باراغون سوليوشنز”. بالتعاون مع ثلاثة من الضحايا ومعلومة من أحد المتعاونين، كشفت منظمة “سيتيزن لاب” للأبحاث السيبرانية تفاصيل أكثر عن كيفية عمل هذه البرمجيات، وتحديد مواقع بعض عملائها الذين ينتشرون عبر أربع قارات على الأقل.
وحذر أيدن هولاند، الباحث الأمني الأول في “سينسيس”، الذي شارك في التحقيق، قائلًا: “الحكومات الحقيقية تستخدم برمجيات التجسس على أنظمة أندرويد وiOS ضد مواطنيها وضد مواطنين أجانب. إنه وقت جنوني نعيشه.”
ما هي مجموعة برمجيات التجسس المحمولة “باراغون”؟
تأسست شركة “باراغون سوليوشنز” في عام 2019 من قبل قائد سابق في وحدة 8200 التابعة للجيش العبري ورئيس الوزراء الإسرائيلي السابق إيهود باراك. وفي عام 2021، كما أنشأت فرعًا أمريكيًا يعمل فيه موظفون سابقون في الحكومة، بما في ذلك مخضرمون من وكالة الاستخبارات المركزية والبحرية الأمريكية.
تعمل برمجية “غرافايت” الخاصة بباراغون على نظام أندرويد بشكل مختلف قليلًا عن برمجيات التجسس التقليدية. بدلًا من تحميل نفسها كتطبيق أو عملية مخفية على الجهاز، تلتصق بتطبيقات المراسلة الشرعية التي من المحتمل أن يكون المستخدمون قد قاموا بتحميلها مسبقًا. هذه الطريقة تترك أدلة جنائية أقل على الجهاز نفسه، لكنها تجعل مطوري التطبيقات جزءًا من العملية.
في الحالات الأخيرة، كان المهاجمون يستخدمون أولًا وسيلة فريدة وغير معروفة حتى الآن لإضافة أهدافهم إلى مجموعة واتساب محددة. بمجرد إضافتهم، كانوا يرسلون ملف PDF إلى الهدف. يقوم جهاز الهدف بتحليل الملف تلقائيًا، مما يسمح للحمل الاستفادة من ثغرة أمنية غير معروفة في واتساب نفسها. دون الحاجة إلى تفاعل المستخدم، يتم تحميل “غرافايت” في التطبيق ثم يهرب من بيئته المحصنة، مما يسمح له بالانتشار إلى تطبيقات أخرى أيضًا. قامت “سيتيزن لاب” بتحليل هاتف واحد انتشرت فيه “غرافايت” إلى تطبيقين آخرين، بما في ذلك “تطبيق مراسلة شهير.”
اكتشف واتساب هذه الثغرة الأمنية وأصلحها في أواخر العام الماضي. وأخبرت شركة “ميتا”، المالكة لتطبيق واتساب، موقع “Bleeping Computer” أن الإصلاح تم تطبيقه بالكامل على جانب الخوادم دون الحاجة إلى تحديث من المستخدمين، وبالتالي لم تقم الشركة بتعيين معرف CVE للثغرة.
تسويق باراغون لنفسها كبديل أخلاقي
على الرغم من أن برمجياتها الخبيثة لا تقل خطورة، تسوق باراغون نفسها كبديل أخلاقي لمجموعة NSO سيئة السمعة. فهي لن تتعاقد مع طغاة مجانين، وبالتالي يمكن الوثوق بأن مهمتها سليمة. ومع ذلك، اكتشفت كل من “ميتا” و”سيتيزن لاب” أن برمجيات باراغون تم نشرها بانتظام ضد مدنيين أبرياء.
من بين الجولة الأخيرة من 90 هدفًا تم تحديدهم، تم الكشف عن ثلاثة أفراد من إيطاليا: رئيس تحرير منفذ إخباري استقصائي ومؤسسا منظمة تنقذ المهاجرين الذين يعبرون البحر الأبيض المتوسط.
أخطاء باراغون في أمن العمليات
لم تكن باراغون دائمًا حريصة على إخفاء وجودها على الإنترنت.
يقول هولاند: “عدنا إلى الفترة بين 2021-2022، عندما لم تكن قد أخفت نفسها بعد.” في إحدى المرات، عندما فحص الباحثون نطاقًا محددًا من عناوين IP إسرائيلية مشبوهة، واجهوا صفحات ويب بعنوان بسيط “باراغون.” وتساءل هولاند ضاحكًا: “أي نوع من شركات برمجيات التجسس تعلن عن موقعها بهذا الشكل؟”
ويضيف: “بصراحة، نرى هذا طوال الوقت مع البرمجيات الخبيثة. [سيعلن خادم ما لنا]، ‘مرحبًا، أنا Cobalt Strike.’ لماذا تخبرني بهذا؟ الآن يمكنني العثور على جميع خوادم Cobalt Strike الأخرى الموجودة.”
في السنوات الأخيرة، يبدو أن باراغون قد صححت أخطاءها. يقول هولاند: “بحثت عن حالات أخرى لمجالات تحمل اسم باراغون، ولم أجد أيًا منها في عمليات المسح الحالية للإنترنت، على الأقل من وجهة نظرنا. مع ذلك، كان من الممكن أن تكون تقنية صالحة لباراغون لحجب Censys حتى لا تتم فهرسة أشياءها، أو الاختباء خلف جدار حماية تطبيقات الويب (WAF).”
